Temat szczepień w zakładach pracy jest w ostatnich tygodniach jednym z istotniejszych kwestii w każdym większym przedsiębiorstwie. Dostępność szczepionek przeciw Covid-19 stała się na tyle wysoka, że zakłady pracy starają się zapewnić swoim pracownikom możliwość zaszczepienia się. W tym czasie większość Inspektorów Ochrony Danych w Polsce zastanawia się, w jaki sposób zaprojektować proces szczepień w zakładach pracy zgodnie z przepisami o ochronie danych osobowych.
Na początku zaznaczę, że nie będę szeroko rozwodził się nad analizą, czy dane dotyczące chęci zaszczepienia się są danymi szczególnej kategorii. Przesądzający jest tutaj motyw 35 preambuły RODO, który wskazuje, że dane dotyczące zdrowia to także dane zbierane podczas rejestracji do usługi opieki zdrowotnej. Prowadzenie szczepień przeciwko Covid-19 bez wątpienia zalicza się do usługi opieki zdrowotnej. Przez opiekę zdrowotną należy rozumieć usługi zdrowotne świadczone pacjentom przez pracowników służby zdrowia w celu oceny, utrzymania lub poprawy ich stanu zdrowia.
W dalszej części rozważań należy zwrócić uwagę, że na moment pisania tego tekstu nie ma obowiązujących przepisów regulujących kwestię zakresu danych zbieranych w ramach szczepień w zakładzie pracy oraz roli pracodawcy w przetwarzaniu danych osobowych.
W tym momencie istotnym dokumentem, który reguluję omawianą kwestię, są wytyczne dotyczące organizacji i realizacji szczepień w zakładach pracy opracowane przez m.in. zespół KPRM i Ministerstwa Zdrowia. We wskazanych wytycznych podkreślono, że pracodawca odpowiada m.in. za: „nawiązanie współpracy z podmiotem leczniczym, który przeprowadzi szczepienia, zebranie listy zatrudnionych pracowników chętnych do szczepienia oraz oświadczeń o zgodzie na przetwarzanie danych osobowych, a także prawidłowe wypełnienie formularza zgłoszeniowego (równoznaczne z gotowością do zaszczepienia zgłoszonych pracowników)”. Pamiętajmy jednak, że wytyczne te nie mają charakteru wiążących przepisów prawa.
Pracodawca nawiązując współpracę z podmiotem leczniczym już na etapie zawierania umowy powinien klarownie ustalić zasady przetwarzania danych osobowych pracowników. Podmiot leczniczy bez wątpienia będzie oddzielnym administratorem danych osób, które zdecydują się na szczepienia. To na nim będzie spoczywać obowiązek przeprowadzenie kwalifikacji do szczepienia, ich wykonanie, a przede wszystkim sporządzenie dokumentacji medycznej oraz wystawienie kart szczepień.
Rola i obowiązki podmiotu leczniczego wydają się jasne i niewymagające dalszej dyskusji. Co jednak z pracodawcą? Jak wskazują wytyczne, po nawiązaniu współpracy z podmiotem leczniczym i podaniu przybliżonej liczby chętnych do zaszczepienia (nie ma tutaj potrzeby podawania jakichkolwiek danych osobowych), pracodawca odpowiada także za zapewnienie odpowiednich warunków bezpieczeństwa, w przypadku wykonywania szczepień w zakładzie pracy oraz pokrycie dodatkowych kosztów, które powstaną przy organizacji szczepień. W żadnym z tych wypadków dane osobowe nie będą pracodawcy potrzebne.
We wskazanych wytycznych zwrócono uwagę na jeszcze jeden obowiązek pracodawcy – zebranie zgody na przetwarzanie danych osobowych. Nie sprecyzowano jednak wobec kogo ta zgoda ma być zbierana – czy wobec pracodawcy, czy wobec podmiotu leczniczego. Jeżeli w imieniu podmiotu leczniczego, to wydaje się, że zgoda na przetwarzanie danych szczególnej kategorii z art. 9 ust. 2 lit. a) RODO nie będzie właściwą podstawą prawną przetwarzania danych. W tym przypadku podstawą prawną przetwarzania danych przez podmiot leczniczy będzie art. 9 ust. 2 lit. h) RODO. Ten przepis mówi m.in., że zakaz przetwarzania danych szczególnej kategorii nie dotyczy sytuacji, jeżeli przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy. Niewątpliwie w analizowanej sytuacji występuje cel w postaci profilaktyki zdrowotnej polegającej na szczepieniach przeciw wirusowi wywołującemu od ponad roku pandemię na całym świecie. Jak wskazuje końcowy fragment tego przepisu, do jego legalnego zastosowania potrzebne jest istnienie szczególnego przepisu prawa lub umowy. Na pewno jednym z nich jest chociażby art. 25 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, który nakłada na podmiot leczniczy obowiązek założenia i prowadzenia dokumentacji medycznej. Zgoda na przetwarzanie danych osobowych nie będzie wiec zbierana na rzecz podmiotu leczniczego.
Czy zgoda na przetwarzanie danych osobowych pracowników będzie właściwą podstawą prawną przetwarzania dla pracodawcy? W pierwszej kolejności należy zwrócić uwagę, że zgoda na przetwarzanie danych osobowych w relacji pracodawca – pracownik jest często negowana. Wynika to z faktu, że zgodnie z RODO zgoda musi spełniać przesłanki dobrowolności. Eksperci z zakresu ochrony danych wskazują, że trudno wskazać, że taka przesłanka występuje w relacji pracodawca – pracownik. Z założenia jest to relacja hierarchiczna, w której przewagę ma pracodawca, narzucając pracownikowi określone obowiązki i zadania, mogący nagradzać i karać. W związku z tym zbieranie zgody na przetwarzanie danych osobowych może zostać zakwestionowane. Ponadto, należy zwrócić uwagę na przepisy ustawy Kodeks pracy. Kodeks pracy nie wskazuje uprawnienia po stronie pracodawcy do przetwarzania danych w zakresie informacji o zaszczepieniu. Z drugiej jednak strony, art. Art. 22(1)(b) par. 1 Kodeksu pracy mówi o tym, że zgoda pracownika na przetwarzania danych osobowych z art. 9 ust. 1 RODO jako podstawa prawna możliwa jest wyłącznie w przypadku, gdy następuje z inicjatywy pracownika. W przypadku, gdy szczepienie i chęć przystąpienia do niego jest całkowicie dobrowolne i zainteresowani pracownicy sami się zgłaszają, to można przyjąć, że przetwarzanie danej szczególnej kategorii będzie następowało z ich inicjatywy.
Pytanie, jakie budzi moje wątpliwości brzmi, czy pracodawca rzeczywiście posiada cele przetwarzania danych o zaszczepieniu? We wskazanych wyżej rozważaniach brak jest, w mojej opinii, odrębnego celu przetwarzania danych pracowników przez pracodawcę w całym procesie szczepień w zakładzie pracy.
Czynności związane z przetwarzaniem danych osobowych wykonywane są w praktyce w imieniu i celach podmiotu leczniczego. Wszystkie okoliczności wskazują, że w procesie szczepień przeciwko Covid-19 pracodawca pełni rolę podmiotu przetwarzającego działającego na zlecenie podmiotu leczniczego. Brak jest też uzasadnienia i powodu, dla których pracodawca przechowywałby informacje w swoich zasobach, który z jego pracowników został zaszczepiony przeciwko Covid-19. Istnieje ryzyko, że pracodawca przetwarzając informację o zaszczepieniu pracownika we własnych celach może naruszać art. 5 ust. 1 lit c RODO – tj. zasadę minimalizacji danych. Przetwarzanie informacji dotyczących stanu zdrowia pracownika może być zakwalifikowane jako nieadekwatne do okoliczności i celów przetwarzania. W mojej opinii istnieje ryzyko naruszenia przez pracodawców jednej z podstawowych zasad przetwarzania danych na gruncie Rozporządzenia.
Z uzyskanych informacji od klientów wynika, że dwa największe podmioty lecznicze na rynku prywatnym stosują dwa odmienne modele: jeden z nich wymaga zawarcia umowy powierzenia z pracodawcą. Drugi z kolei twardo stoi na stanowisku, że każdy jest osobnym administratorem i żadnej umowy powierzenia nie zawrze. Jak widać sytuacja jest dynamiczna i rozwojowa, a rozbieżność poglądów i modelów na ten moment jest naprawdę spora.
Co w takim razie powinniśmy zrobić jako inspektorzy ochrony danych? Bez względu na przyjęcie roli podmiotu przetwarzającego lub administratora, IOD w imieniu pracodawcy powinien zadbać o:
- uregulowanie kwestii przetwarzania danych osobowych podczas nawiązywania przez pracodawcę współpracy z podmiotem leczniczym,
- zaopiniowanie ewentualnie zawieranej umowy powierzenia z podmiotem leczniczym,
- w przypadku przyjęcia roli oddzielnego administratora – zaopiniowanie konieczności przeprowadzenia oceny privacy by design i oceny skutków przetwarzania danych oraz przekazanie instrukcji, co do wykonania obowiązku informacyjnego wobec pracownika.
- przekazanie wskazówek, co do usunięcia danych po ustalonym okresie przetwarzania.
